「わつぃの設定」~おかしな日本語を表示する偽セキュリティソフト-2011年3月の脅威傾向を振り返る

セキュリティソフトを装って金銭を脅し取る「偽セキュリティソフト」についてはこのブログでもたびたび注意喚起してまいりました。2011年3月の脅威傾向の振り返りつつ、リージョナルトレンドラボが確認した新たな偽セキュリティソフトを紹介します。


2011年3月も脅威傾向としては大きな変化がありませんでしたが、日本国内に関しては 3月11日に発生した東日本大震災に便乗した攻撃が複数発生し、今も継続していることを確認しています。

  • 東北地方太平洋沖地震に便乗したSEOポイズニングを確認。「FAKEAV」へと誘導
    /archives/3981
  • 東北地方太平洋沖地震に便乗した偽サイト、大量出現のおそれ
    /archives/3988
  • 地震、津波、原発、節電などのファイル名の不正プログラムが国内で流通
    /archives/4001
  • 震災に便乗したFacebook経由の不正プログラムなど続々と出現
    /archives/4020

日本国内のお客様から 28件の感染被害報告があり、同ランキングで初めて第1位に立った「TROJ_FAKEAV」に代表される偽セキュリティソフトは、震災に便乗した攻撃でも悪用されています。

■偽セキュリティソフトとは
セキュリティソフトを装い、ユーザの PC内で多数の不正プログラムに感染したという警告メッセージを表示し、駆除・復旧するためにはソフトウェアの購入が必要、と金銭や個人情報をだまし取る「偽セキュリティソフト」は、すでにサイバー犯罪の手口としては常套手段となっています。2010年から 2011年にかけても、本ブログで以下のような注意喚起しました。

  • 偽セキュリティソフト「System Tool」が猛威-2011年2月の脅威動向を振り返る
    /archives/3946
  • 感染被害急増中? 偽セキュリティソフト「Think Point」
    /archives/3807

3月にリージョナルトレンドラボでは、「Internet Security 2011」という実在するセキュリティソフトと似たような名称で、日本語を含む 5言語に対応した偽セキュリティソフトを確認致しました。

日本語表記が明らかに不自然なため日本人のユーザはすぐに違和感を覚えるものと思いますが、本ブログにて画像で紹介致します。

■Webサイトを通じて侵入、最初の表記は英語
偽セキュリティソフト「Internet Security 2011」は不正な Webサイト経由、もしくは他の不正プログラムによりダウンロードされることでユーザの PC に侵入します。ユーザの PC には図1 のようなアイコンがあらわれ、実行されると図2 のような英語のアラートが出た後、図3 のような英語のメイン画面を表示します。

図1:突然現れるアイコン
図1:突然現れるアイコン

図2:起動時に表示されるメッセージ 「ウイルス検索を実行するには ”YES” をクリック」と書いてある
図2:起動時に表示されるメッセージ
「ウイルス検索を実行するには ”YES” をクリック」と書いてある

図3:メイン画面(英語)
図3:メイン画面(英語)

■5ヶ国語に対応、しかし日本語は不自然
メイン画面をよく見ると右上にプルダウンメニューがあり、複数の言語に対応しているようです。クリックすると英語・ドイツ語・フランス語・スペイン語そして日本語が選べるようになっています。図4 が日本語を選択した場合のメイン画面ですが、よく見るとどことなく表記がおかしいことに気付くでしょう。

図4:日本語のメイン画面
図4:日本語のメイン画面

 英語表記   日本語表記 
 My Protection  私の保護
 Scan My Computer  目を通す
 Update Center  更新
 My Settings  わつぃの設定
 Scanning your computer  あなたのコンピュータをスキャンしている中
 Started  始めた開始のは
 Duration  期間
 Remain  残っているのは

かろうじて違和感がないのは「Update Center」の「更新」などで、大半は一般的な日本語の表記からすると不思議なものになっていることがわかります。従来から確認されている日本語の偽セキュリティソフトは、機械翻訳が用いられているものが大半ですが、この事例もその例外ではないといえます。

このような日本語表記であるということだけでも多くの日本人のユーザは不審感を抱くと思いますが、促されるままに遷移すると、図5 のような購入画面に誘導されます。

図5:日本語で表示される購入画面
図5:日本語で表示される購入画面

左右に小さなフォントで表示されている文章をよく読むとこちらも違和感があるのですが、カード会社のロゴや認証が行われているようなロゴマークが使用されていることから、なかには疑い無く個人情報やクレジットカード番号の情報を記入してしまうユーザもいるかもしれません。

なお、価格は「Lifetime License(生涯ライセンス)」で米ドル79.95 となっています。

■ポップアップもおかしな日本語、他のプログラムの起動を妨害
この「Internet Security 2011」によってタスクバーに表示されるポップアップメッセージも違和感の残る日本語です。図6 は「わつぃの設定」を選択した際に表示される製品の画面です。

図6:ポップアップメッセージ(右下)と「わつぃの設定」を選択すると表示される製品画面
図6:ポップアップメッセージ(右下)と「わつぃの設定」を選択すると表示される製品画面

この偽セキュリティソフト「Internet Security 2011」は、このようなこれまで指摘したような拙い日本語で表記されるなど完成度の点では疑問符がつくにも関わらず、過去に登場した偽セキュリティソフト同様、他のアプリケーションの起動を妨害する機能があることを確認しています。新たに何らかのアプリケーションを起動させようとしても図7 のような真っ白なウィンドウが表示され、起動することができません(すべてのアプリケーションが起動できないわけではありません)。

図7:新たにプログラムを起動しようとするとブロックされてしまう
図7:新たにプログラムを起動しようとするとブロックされてしまう

■対策~セキュリティソフトの適切な使用
トレンドマイクロ製品ではこの「Internet Security 2011」を「TROJ_FAKEAV.LEXA」として検出します。また、「TROJ_FAKEAV.LEXA」は、「Exefile.exe」と「userinit.exe」というファイルを作成しますが、それぞれを「TROJ_FAKEAV.LEXB」「TROJ_FAKEAV.SMDJ」として検出対応しています。

このような日本語表記であれば、おのずと不審に感じるとは推測されますが、今回は実在する正規のセキュリティソフトと酷似した名前を用いていることからすぐに「ニセモノ」と判断することは難しいかもしれません。日頃から、

  1. セキュリティソフトを適切に使用する
  2. ソフトウェアを最新の状態に保つ
  3. 怪しいメールを開かない、怪しい Webサイトに近づかない

の3点を改めて徹底頂き、ご自身の個人情報と金銭を詐取されないよう、くれぐれもお気を付けください。